Это может позволить злоумышленникам использовать денежные средства пользователя в личных целях. Интересно, что команда, обнаружившая уязвимость, получила первые данные об уязвимости еще 9 месяцев назад. Тогда группа специалистов по IT-безопасности столкнулась с классической ошибкой переполнения буфера в службе Android KeyStore, однако этому не придали большого значения. Лишь 23 июня появилось сообщение о том, что эта ошибка может быть успешно использована для проведения атаки на устройствах под управлением Android 4.2 и старше. И только вчера стало понятно, что под угрозой находится лишь Android 4.3, что составляет порядка 10% устройств.
К счастью, использование уязвимости хакерами ограничено рядом условий. Во-первых, на подверженном атаке устройстве должно быть установлено приложение, в котором сохранены определенные платежные данные, в частности, PIN-код и некоторая информация о владельце. Во-вторых, для совершения атаки необходимо обойти внутренние инструменты безопасности Android - предотвращение выполнения данных и рандомизация адресного пространства. Таким образом специалисты скептически относятся к возможности большого числа атак на Android-смартфоны. Лучшей защитой от атаки называется отказ от сохранения личных данных от банковских карт или онлайн-кошельков на мобильных устройств и установка любых приложений только из доверенных источников. Интересно, что этот совет можно применить практически ко всем угрозам безопасности и практически всегда они будут эффективны.
Сообщается, что в Android 4.4 KitKat данный эксплойт отсутствует.
